Ahmed Mehtab, un estudiante de Pakistán, ha descubierto una vulnerabilidad en Gmail, el servicio de correo electrónico de Google, mediante un procedimiento bastante sencillo. Con este hallazgo, podrá cobrar una recompensa de miles de euros ofrecida por la propia empresa Google.
Al igual que otras muchas compañías de servicios en Internet, Google cuenta con un programa de recompensas para los hackers que descubran fallos de funcionamiento y de seguridad en sus servicios. Con este procedimiento consiguen, por una parte, detectar problemas que necesitan solución urgente, y por otra, animar a los hackers a que trabajen para ellos en busca de generosas recompensas económicas en lugar de buscar brechas de seguridad para perjudicar a los usuarios o para vender contraseñas en foros ocultos.
Un estudiante de Pakistán hackea Gmail y ganará miles de euros
La vulnerabilidad descubierta por Ahmed Mehtab es accesible con una serie de pasos bastante básicos, y aparece cuando un usuario quiere asociar en un mismo lugar una cuenta de correo electrónico propia y una cuenta de otra persona. Si se dan las circunstancias correctas, el usuario podría suplantar la identidad de otra persona sin que esta se diera cuenta, y acceder a sus correos o enviar mensajes en su nombre sin su permiso.
Al introducir la dirección de esa otra persona, Gmail le mandará un código de verificación para que autorice el uso desde nuestra cuenta, pero si hay algún problema con la entrega del mensaje, recibiremos ese correo reenviado con la información relativa al fallo. Lógicamente, en ese correo reenviado se encuentra el código de verificación, que se introduce en el campo requerido. Es decir: podríamos hacernos pasar por otra persona si se dieran esas circunstancias, ya que tendríamos a nuestra disposición el código de seguridad y podríamos autorizar el control de la cuenta desde nuestro perfil de Gmail sin que la otra persona pudiera hacer nada.
Aunque este fallo de seguridad solo se produce si hay problemas con la entrega del mensaje en la otra cuenta, hay distintas circunstancias que pueden provocar esta situación, como por ejemplo una bandeja de entrada de emails totalmente llena que se debe limpiar y que no admite nuevos mensajes.
Ahmed ganará 20.000 dólares por este descubrimiento (unos 18.000 euros, aproximadamente), mientras que Google se apresurará a corregir este fallo para evitar problemas de robo de cuentas y suplantación de identidad.
La solución ideal por parte de Gmail sería introducir cambios en esos correos electrónicos de verificación, de tal manera que, en caso de fallo en la cuenta de la otra persona, el mensaje no se reenvíe a quien solicita control sobre esa cuenta, sino a los servidores de Google, para que el código de verificación no cayera en manos inadecuadas.
Hace unos meses, conocimos otro caso interesante de un hacker joven (Jani, un finlandés que tenía solo 10 años) que ganó una recompensa de 10.000 dólares ”“unos 9.000 euros”“ por descubrir un fallo de seguridad en la red social Instagram que permitía borrar remotamente los comentarios de los servidores.
